Le nostre tecnologie manipolano e ispezionano file riservati, processano e archiviano dati personali, cifrano informazioni sensibili, accedono a risorse il cui uso è regolato, gestiscono identità digitali, analizzano il traffico ed il suo comportamento e molto altro. Come garantire quindi ai clienti e all’ecosistema che queste attività sono affidabili? Come rispettare la sovranità sul dato alla luce di tutte le tensioni geopolitiche?

Per i produttori di soluzioni per la sicurezza perimetrale queste domande sono vitali considerando che la cifratura del traffico è una delle colonne portanti di un account digitale affidabile. Secondo Gartner, entro il 2019 l’80% del traffico generato dalle aziende sul web sarà cifrato, una buona notizia. Questo significa però che un numero crescente di attacchi e applicazioni malevole (ransomware incluso) si celeranno dietro al traffico HTTPS per nascondere l’infezione iniziale e prendere il controllo delle comunicazioni.

Alla luce di ciò Gartner raccomanda che le aziende e le organizzazioni formalizzino un piano pluriennale per l’implementazione di soluzioni e programmi per la decodifica e l’ispezione del flusso di dati HTTPS. La tecnica di ispezione di SSL si basa per lo più sul metodo “man-in-the-middle”, che inevitabilmente crea una falla nello scambio di comunicazioni cifrate. Una debolezza nel prodotto che conduce la decodifica e l’ispezione del traffico SSL può quindi far collassare l’intera catena di fiducia.

Di fronte a questi rischi Matthieu Bonenfant, Chief Marketing Officer di Stormshield (azienda che sviluppa soluzioni di sicurezza per la protezione delle reti aziendali), propone alcune possibili soluzioni.

Esternalizzare

È possibile fare affidamento sui test condotti da aziende esterne specializzate nella valutazione delle tecnologie di sicurezza per giudicare l’efficacia dei meccanismi di protezione. Tuttavia questi test, che tra l’altro non sono particolarmente a buon mercato, non si focalizzano in realtà sul design della soluzione di sicurezza in sé.

Common Criteria

È anche possibile fare affidamento sulle linee guida dettate dai Common Criteria adottate da 26 Paesi. In questo caso però il produttore di soluzioni di sicurezza è colui che definisce lo spettro di valutazione, che può quindi essere limitato ad una piccola parte del software analizzato. Sfortunatamente solo in alcuni Paesi si misura l’importanza e si valuta la rilevanza dell’obiettivo prefissato.

framework di certificazione

Bug Hunting

Ci sono anche numerosi programmi che incentivano la ricerca di “bug”, software di analisi del codice statico o audit indipendenti volti a rilevare e correggere eventuali vulnerabilità. Queste iniziative migliorano effettivamente la sicurezza della tecnologia, a volte anche già in fase di design, ma è difficile presentarle agli utenti come garanzia di affidabilità.

Certificazioni ufficiali

Le certificazioni ufficiali svolgono un ruolo importante. Ad esempio in Francia, la ANSSI (l’agenzia nazionale per la sicurezza informatica) valuta il livello di affidabilità dei prodotti di sicurezza utilizzando un framework di certificazione specifico, che è poi un’estensione dei principi Common Criteria. Questo framework definisce tre livelli di qualificazione basati su obiettivi di sicurezza predefiniti.

A seconda del livello di qualificazione si conduce una revisione indipendente del codice sulle componenti ritenute essenziali per la sicurezza, come la cifratura. Vengono analizzate anche le potenziali vulnerabilità, insieme all’ambiente fisico di sviluppo. Questo metodo fornisce la prova che i prodotti siano robusti e che non vi siano vulnerabilità sfruttabili come backdoor.

Framework di certificazione unico

Il fatto che questo framework di qualificazione sia riconosciuto esclusivamente in Francia rappresenta però un problema. Ad esempio Germania e Regno Unito dispongono di un proprio framework, creato rispettivamente dal BSI (ufficio federale per la sicurezza informatica) e dal NCSC (centro nazionale per la cybersicurezza).

La situazione attuale non è nè scalabile né economicamente accettabile per la maggior parte dei produttori, dato che dovrebbero far certificare i prodotti in ogni Paese. Per poter dar vita ad un unico mercato digitale in Europa, che alimenti la fiducia e assicuri la sovranità dei Paesi europei, è necessario implementare certificazioni riconosciute in tutti gli Stati membri.

La Commissione Europea, che sembra aver compreso il messaggio, ha lanciato di recente un’iniziativa per creare un framework certificazione europeo. Questa misura costituirà un enorme passo avanti, sempre che il nuovo framework si basi sull’esperienza e sui criteri di valutazione dei Paesi che già sanno esattamente cosa fare e non indebolisca i criteri di qualificazione per far posto a chi è rimasto indietro.